IT Security

heise devSec: File Inclusion im Fokus der IT-Security

: IT-Security-Experte Matthias Altmann hat auf der heise devSec die Sicherheitslücke File Inclusion unter die Lupe genommen.

IT-Security auf der heise devSec

Die heise devSec macht es sich zur Aufgabe, Softwareentwicklung und IT-Security stärker zu vernetzen. Die Teilnehmer nutzen die Vorträge und Workshops, um sich als Experten miteinander auszutauschen und technisch wie fachlich state-of-the-art zu bleiben – zum Beispiel beim Thema File Inclusion.

File Inclusion und die Folgen für die IT-Security

Als Experte für IT-Security bei der Micromata GmbH war ich eingeladen, über die Sicherheitslücken File Inclusion und deren zwei Varianten Local File Inclusion (LFI) and Remote File Inclusion (RFI) zu sprechen. Dabei ging es nicht nur darum zu erläutern, was das im einzelnen für Angriffsmuster sind und was sie bei Hackern so beliebt macht, sondern auch darum zu zeigen, wie wir unsere Anwendungen davor schützen können. File-Inclusion-Lücken zählen zu den derzeit gefährlichsten Sicherheitsrisiken, weil sie a.) einfach zu missbrauchen sind und dieser Missbrauch b.)  gravierende Auswirkungen haben kann. Obwohl neuere Frameworks relativ gut dagegen geschützt sind, zählen sie nach wie vor zu den größten Herausforderung für die IT-Security.

Beispiele für File Inclusion auf Github

Der Vortrag zur File Inclusion richtete sich primär an Einsteiger, Softwareentwickler und Pentester. Alle gezeigten Beispiele können über Github eingesehen werden.

Der Nutzen der heise devSec für die IT-Security

Die Workshops der heise devSec waren dieses Jahr von Schwerpunkten wie Kryptoimplementierung, Web Security Basics und Java-Security-Sünden geprägt. Im Kontext des letzteren waren insbesondere Admin-Panels, RMI- bzw. Deserialisierungslücken und deren Behebung Gegenstand der Betrachtung.

Auch die Vorträge boten ein erhebliches Lernpotenzial: Die Teilnehmer konnten das Gesagte mittels IDE und Demos synchron oder anschließend in ganzer Tiefe nachvollziehen – ein sehr sinnvoller Service für jeden, der  das Gelernte nachhaltig in die eigene IT-Security-Praxis transferieren möchte: angefangen bei der Frage „Wie bringe ich sichere Softwareentwicklung in die Projekte?“ über aktuelle Implementierungsmöglichkeiten in Java, C++ und Python bis hin zur statischen Codeanalyse und derzeitigen Herausforderungen z. B. im Bereich IoT.

Stelldichein namhafter IT-Security-Experten

Auch dieses Jahr war das Aufgebot an namhaften Speakern auf der heise devSec wieder hochkarätig. So gab es beispielsweise einen Talk vom renommierten Hacker und IT-Sicherheitsexperten Felix von Leitner – der Fachleuten vielmehr als Fefe ein Begriff ist. Außerdem hat Stefan Gerhager, CISO der Allianz AG, in seinem Vortrag gezeigt, wie Automobile kompromittiert werden können und Prof. Dr. Matthew Smith hat Einblicke in seine Forschung gegeben, die sich damit auseinandersetzt, ob und wie Softwareentwickler das Thema IT-Sicherheit überhaupt wahrnehmen – denn ohne ein bereits gehärtetes Tooling läuft IT-Security vielerorts Gefahr, gar nicht implementiert zu werden.

Fazit

Mit der zunehmenden Digitalisierung wird auch das Thema IT-Security in Industrie und Wirtschaft immer relevanter. Angriffsmuster und Sicherheitslücken wie etwa die File Inclusion sind dabei eine reale Gefahr. Softwareentwickler und IT-Security-Experten sollten deshalb möglichst eng zusammenarbeiten und ihr Know-how zugunsten einer ganzheitlichen IT-Sicherheit bündeln, teilen und ausbauen. Die heise devSec ist ein perfekter Ort, dies zu tun.

+++++

Empfehlung der Redaktion: Als IT-Security-Experte befasst sich Matthias Altmann auch mit Sicherheitsfragen außerhalb der eigentlichen Softwareentwicklung. In diesem Kontext sehe hörenswert: der TechPod zum Thema Social Engineering.

 

 

Matthias Altmann

IT-Security Experte